Drive-by cryptomining également connu sous le nom cryptojacking est devenu l'une des principales menaces pour les utilisateurs en ligne. Les chercheurs viennent de plus en plus dans les cas d'abus impliquant Coinhive.
L'exploitation Coinhive dans un navigateur expliqué
Qu'est-ce que Coinhive? Coinhive a été créé en Septembre de cette année. Tout simplement expliqué, le logiciel permet directement l'exploitation minière Monero dans un navigateur. Comme expliqué par les développeurs du logiciel, Coinhive offre un mineur JavaScript pour le Monero Blockchain qui peut intégrer dans un site Web. Les utilisateurs du site courent le mineur directement dans leur navigateur XMR et le mien pour le propriétaire du site à son tour une expérience sans publicité, monnaie du jeu ou quoi que les incitations vous pouvez venir avec.
Le logiciel est facilement intégré grâce à son intégration API, et est simpliste d'ensemble. Cependant, l'incapacité d'appliquer un processus d'opt-in pour fournir le consentement de l'utilisateur, il est en quelque sorte douteux. Le résultat est que le logiciel a été abusé dans une mesure incroyable, et la tendance se poursuit pendant que nous parlons. Nous avons écrit récemment au sujet de la tendance alarmante du nombre croissant de sites Web en utilisant le script de Coinhive à la mienne pour Monero. Fondamentalement, les chercheurs ont conclu que 1 à 1,000 sites est en cours d'exécution Coinhive.
Une nouvelle technique permet aux acteurs malveillants de poursuivre l'exploitation minière, même après un navigateur est fermé
Cette tendance va maintenant encore plus problématique car les chercheurs ont trébuché sur une technique qui permet aux utilisateurs malveillants afin que l'exploitation minière pour Monero même après la fenêtre du navigateur est fermé. La recherche menée par Jerome Segura a été concentré sur le navigateur Chrome, mais d'autres navigateurs peuvent être affectés aussi bien, avec des résultats différents pour chaque navigateur.
Qu'est-ce qui se passe après un utilisateur visite un site Web, qui est chargement en silence le code minier est que l'activité du processeur augmente mais il ne plafonnait. Après que l'utilisateur quitte le site notamment via la fermeture de la fenêtre Chrome, L'activité du processeur de sa machine reste plus élevé que d'habitude. Ceci est un signe que le processus de cryptomining ne reprend pas avec la fermeture du navigateur. Comment est-ce possible?
Les chercheurs ont remarqué cette activité sur un site adulte connu pour déployer des techniques de publicité agressives. En analysant le trafic réseau la fenêtre du navigateur escroc a été remarqué, ainsi que d'où il vient et ce qu'il chargé.
- Le pop-under a été identifié – elthamely[.]avec - et était détecté pour lancer à partir du réseau Ad Maven.
Peu dit, Ad-maven(.)com est le site d'une plate-forme de marketing à la performance. Maven Ad est considéré comme logiciel publicitaire en termes de production d'une multitude d'annonces redirigeant l'utilisateur vers divers sites douteux. Le réseau gagne aussi de l'argent de ces services et le trafic Internet que ses annonces génèrent.
Même si les fenêtres du navigateur sont fermées visibles, une session cachée reste ouverte, rendant le lecteur par cryptomining persistante. Ceci est possible grâce à un pop-under fait pour se glisser sous la barre des tâches, juste derrière l'horloge.
Qu'est-ce qui se passe après elthamely[.]com pop-under est chargé à partir du réseau Ad Maven? Ressources de CloudFront Amazon[.]net sont chargés, et une charge utile est prise d'un autre Doman - hatevery(.)infos.
Les chercheurs ont également remarqué fonctions de la documentation Coinhive conçu pour vérifier si un navigateur prend en charge WebAssembly, un format bytecode bas niveau dans les scripts navigateur côté client, qui se sont développés à partir de JavaScript. La fonction permet à l'utilisateur d'utiliser pleinement la capacité du matériel directement à partir du navigateur. Si le navigateur ne supporte pas WebAssembly, il retournerait à la version JavaScript plus lente.
Comment arrêter ce nouveau type de lecteur par cryptomining a.k.a. cryptojacking
Compte tenu du type de pop-under déployé par des acteurs malveillants de contourner adblockers et cacher son activité des utilisateurs, simplement fermer le navigateur ne le fera pas. Les utilisateurs touchés doivent exécuter le Gestionnaire des tâches pour vous assurer qu'il n'y a pas de processus restes. Si tels sont trouvés, ils devraient être éliminés immédiatement.
En conclusion, drive-by cryptomining va sûrement continuer à évoluer et devenir plus dangereux pour les utilisateurs. acteurs malveillants vont continuer à rechercher des moyens de distribuer entraînement par l'exploitation minière. Par conséquent, malvertising devient encore plus menaçant avec cette nouvelle technique qui met en danger toutes les plates-formes et navigateurs.
Compte tenu du paysage actuel de la menace, il est fortement recommandé que toutes les mesures de sécurité sont en considération, y compris l'utilisation d'un programme anti-malware qui protège activement le système de toutes sortes d'exploits.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: